Dnes začala v Bruselu konference
Computer Privacy and Data Protection (CPDP 2016). Plný den zcela napěchovaný
tím nejlepším, co sféra ochrany soukromí a osobních údajů může nabídnout. Sešli
se zde zástupci akademie, businessu i zákonodárci a ve čtyřech paralelních
streamech po celý den probírali aktuální témata, kterým vévodilo zejména před
měsícem schválené znění návrhu GDPR a jeho možné důsledky. Organizátorům
konference je třeba přiznat, že se jim (minimálně dnes) dařilo skládat nesmírně
zajímavé panely, do kterých cíleně vybírali řečníky s rozdílným původem,
ať už národnostním, nebo profesním. Nejednou jsem zažíval drobnou frustraci nad tím,
že nemůžu být na více sekcích najednou, což, jak na zahájení konference tvrdil
Paul De Hert, byl přesně záměr. Plný program je k nahlédnutí zde.
Den byl opravdu nabitý a
popisovat přesně každý příspěvek není, domnívám se, vhodné (ani možné). V následujících
odstavcích se pokusím vybrat a vyzdvihnout ty nejzajímavější názory a komentáře,
které dnes zazněly (a u kterých jsem byl). Místy připojuji vlastní úvahy, které
označuji „JM“.
Tématem první sekce, kterou jsem
se zúčastnil, bylo „Risk-based approach to privacy: How far should we go?“ GDPR
cíleně pracuje s hodnocením rizikovosti zpracování osobních údajů (např.
nezbytnost v určitých případech vypracovat Data Protection Impact
Assessment, povinnost v případech rizikového zpracování upozornit na únik
dat atd.), což panelisté hodnotili kladně jako projev moderního přístupu k regulaci
ochrany osobních údajů. Obecně panovala shoda, že přístup k ochraně osobních
údajů postavený více na hodnocení rizik je cesta, kudy se vydat. Důležité pak
je najít ideální rovnováhu mezi rizikem a užitečností údajů. (Zde se vynořuje
obvyklý problém, na který tak často narážíme v případě anonymizace. JM)
Bojana Bellamy z britské advokátní kanceláře Hunton & Williams tvrdila, že korporace
jsou zvyklé dělat analýzu rizik, ale centrem jejich zájmu jsou ony samy, a
nikoli jejich zákazníci a jejich soukromí. Krom toho připomněla, že risk based
approach nemá nahradit současný systém ochrany, ale má ho podpořit a učinit
efektivním. Ve světě, kde takřka vše jsou osobní údaje, je třeba přiřadit
prioritu a regulovat zpracování těch, které opravdu riziko představují. Raphael
Gellert (Vrije Universiteit Brussel) připomněl, že určitá forma hodnocení rizikovosti
zpracování je součástí systému ochrany osobních údajů od jeho počátku a nabídl
zajímavou komparaci procesu vyhodnocování rizik (v obecném slova smyslu) a
současné právní regulace ochrany soukromí. Navázal na něj Henry Rothstein (King’s College London), který
navrhoval inspirovat se v dalších oblastech, kde už se hodnocení rizik
dělá (ochrana životního prostředí). Obecný problém, na který poměrně vhodně ukázala
diskuze, spočívá v tom, že v případě ochrany osobních údajů je
nesmírně obtížné potenciální rizika vyčíslit a tak rozřadit jejich intenzitu.
Druhý panel byl věnován nezbytné
reformě, která teď po přijetí GDPR čeká E-privacy směrnici (2002/58/ES). Rosa
Barcelo (Evropská Komise, DG CNECT) přednesla plán, dle kterého během roku 2016
má dojít k vyhodnocení současného stavu směrnice a její kompatibility s GDPR.
V první polovině roku bude probíhat sběr dat - od široké veřejnosti pomocí
online dotazníku, a následně formou workshopů od společností působících v odvětví
a národních orgánů, které mají agendu ve své působnosti (obvykle DPA, občas orgán
dozorující elektronické komunikace). V druhé polovině
roku 2016 by pak měly být k dispozici výsledky tohoto šetření. V současné
době předvídají jako možné střety s GDPR například právě výše uvedenou nejednotnost
sytému odpovědných orgánů, rozdílnou výši pokut a legislativní formu (směrnice
/ nařízení). Důležitým faktorem, o kterém Rosa Barcelo hovořila je faktické
rozšíření působnosti nové úpravy na subjekty, na které současná směrnice
nedopadá, byť poskytují typově podobné služby (tedy na poskytovatele služeb
informační společnosti, jejichž služba spočívá ve zprostředkování komunikace - např.
WhatsApp, ICQ a další). Anna Buchta (EDPS), která se podílela na reformě
e-privacy směrnice roku 2009, mezi řečí naznačila, že by nový předpis měl mít
formu nařízení, a že je nezbytné soustředit se na hlavní principy již nyní
přítomné ve směrnici. Els De Busser (Max Planck Institute) byla opatrnější a
připomněla, že v současné době je úroveň harmonizace e-privacy směrnice
nesmírně nízká. Je tak třeba brát v potaz reálný stav v konkrétních národních
státech. Krom toho, vzhledem k data retention a jeho použitelnosti jako
důkazu v trestním řízení, je třeba zvážit národní úpravy trestního procesu,
které leží zcela mimo legislativní kompetence Unie.
Třetí sekce nesla název „Making
sense of right to data probability“. Lilian Mitrou (Evropská Rada) shrnula vývoj
tohoto nového práva v rámci legislativního procesu GDPR. Jedná se o
extenzi práva subjektu údajů na přístup k nim. Správce je má povinnost
vydat v takové podobě, že je bude moct rovnou zpracovávat jiný
poskytovatel služeb informační společnosti, které chce subjekt začít používat. (Jedná
se tedy o cestu jak uniknout z technického uzamčení v rámci jedné
služby a možnost přejít k jinému poskytovateli. Možnost takové volby je
uvažována od počátků kyberprostoru jako způsob, jak může jedinec rozhodnout,
které komunity chce být součástí; které množině norem chce být adresátem. JM). V konečné
verzi se to však týká jen těch údajů, které subjekt správci sám poskytnul se
souhlasem, nebo jako součást plnění smlouvy. Toto právo tak nedopadá na
zpracování dat státními orgány (byť se panelisté shodli na tom, že by byla
lákavá a užitečná možnost nechat si v přenositelné podobě nechat udělat například
kopii dat, které o člověku vede finanční úřad za účelem daňové optimalizace). Zdaleka nejzajímavější příspěvek v panelu
měl Peter Swire (Georgia Tech.), který se zabýval otázkou data portability z hlediska
soutěžního práva. Na tomto místě jen odkážu na jeho text, který k tématu napsal,
když se Right to Data Portability poprvé objevilo v návrhu GDPR.
Čtvrtá sekce se zabývala
praktickými otázkami souvisejícími s nástupem GDPR. Gerrit Hornung (University
of Kassel) ji zahájil lakonickým prohlášením „Brusel svoji práci dokončil, teď
čeká práce nás ostatní.“ Problém, na který upozornil, je nejasná intepretace ustanovení,
která jsou nesmírně podobná ustanovením Směrnice, ale která mohou být fakticky výrazně
rozpracována v národních právních řádech (jako příklad uvedl Německo a detailní
zákonnou úpravu různých oprávněných zájmů správce údajů). Není jasné, jak bude možné
v praxi postupovat, očekává však určitou setrvačnost současného stavu
(vznik právní zvyklosti? JM). Jako zcela zásadní pro hladký přechod a vyřešení
interpretačních problémů vnímá vztah hardlaw (GDPR, národní implementace) a
softlaw (stanoviska WP29, nově EDPB). O přerodu WP29 v European Data
Protection Board a o funkcích DPA mluvila ve svém příspěvku Florence Raynal
(CNIL). Uvedla tři úrovně problémů, které bude v této souvislosti nezbytné
vyřešit. Za prvé to bude faktická změna, kdy EDPB již nebude jen poradním, ale
výkonným orgánem. Během dvou let, které nyní na změnu jsou, se tak bude muset WP29
připravit, aby od prvního dne účinnosti GDPR mohl EDPB fungovat jak má. V této
přípravné době však bude zároveň plnit všechny činnosti, které plní v současné
době jako WP29. Za druhé je třeba rozhodnout a sladit nový užší režim
spolupráce mezi národními DPA, ať už půjde o one stop shop, přeshraniční
případy, sankce atd. Třetí oblasti, na kterou je třeba se připravit, je pak
působení DPA na národní úrovni. Sekci zakončoval Brendon Lynch (Microsoft),
který nejprve odmítl argument, že by je doposud zajímal risk management jen z
hlediska firmy a ne zákazníků. Bez důvěry zákazníků není možné obchodovat. Připomněl,
že se osobní data volně pohybují napříč jurisdikcemi, ale zákony na ochranu
soukromí jsou stále národní. Je proto dle něj třeba vytvářet nadnárodní rámec.
Jako jediný z panelistů také dokázal v závěru sekce splnit zadání
moderátora Wojciecha Wiewiorovskeho (Evropský inspektorát ochrany údajů), aby
formou tweetu vyjádřil, co je teď z hlediska přechodu na GDPR nejvíce
potřeba, když odpověděl: „Drive for consistency, remove uncertainty. Now,
please.“
Poslední dvě sekce již jen velmi
telegraficky, protože mi vlivem únavy poněkud selhal systém poznámek. Pátá
sekce se týkala rozporu zásady minimalizace zpracovávaných údajů a personalizovaného
užívání technologií. Mario Guglielmetti (Evropský inspektorát ochrany údajů) komparoval
rozdílné způsoby, jak prakticky k naplnění této zásady dochází ve veřejném
a soukromém sektoru a Jan Schultze-Melling (Facebook) k překvapení všech
tvrdil, že Facebook aplikuje zásadu privacy by design (nikoli však privacy by
default – to již nepřekvapivě). Šestá sekce byla v režii IViRu a byla
věnována behaviorálnímu zacílení na voliče během předvolebních kampaní. Z právního
hlediska byl hodnotný věcný výstup Gabriely Zanfir (Evropský inspektorát
ochrany údajů), praktiky v předvolební kampani ve Spojených státech pak přiblížila
D. Sunshine Hilligus (Duke University). Extrémně zajímavá byla zejména následná
diskuze, na kterou má smysl se podívat ze záznamu, až ho organizátoři konference
publikují.
Závěrem reportáže z prvního dne se ještě musím zmínit o pozdvižení, které mezi přítomnými (a zejména na Twitteru) způsobila volba sponzorů konference. Mezi čtveřicí platinových sponzorů je Facebook, jen o stupeň níž pak Google a Palantir. Mléčná čokoláda zabalená do modrého obalu s logem Facebooku byla například součástí konferenčních balíčků. Bylo poměrně zábavné sledovat na hlavním plátně během dopolední sekce Twitter live feed. Do doby než ho vypnuli a nahradili problikávajícími obrazovkami s logem konference, partnerských univerzit… a sponzorů.
---
Cesta se uskutečnila v rámci projektu Interception of Electronic Communication in the Czech Republic and Slovakia (MUNI/A/1153/2015)
Žádné komentáře:
Okomentovat